このコラムを書き始めて2年近くになります。多くの方々から「三輪さんのブログ読んでます」と言われてきましたが、今回で最後となることになりました。これまで比較的時間に余裕があったのですが、最近急に忙しくなり始めて、長期の大型プロジェクトの責任者にもなっており、執筆に時間を割けなくなってきたのです。
私が1995年に1人で始めたころには情報セキュリティというビジネスはありませんでした。それからいろいろなトレンドがありました。ワームといわれる社内やインターネットで爆発的に増えるウイルスの登場や、ハッカーによるWebサイトの改ざん、情報漏洩、個人情報保護法、J-SOX法や内部統制などなど。そして今は金銭目的の国際組織や大規模ハッカーグループ、国家が絡んでいると思われるサイバー戦など、混乱の中にあります。
このコラムを書き始めて以降では、クラウドやスマートフォンの爆発的普及による新しい利用スタイルとそれに伴う新しいセキュリティのあり方も模索されるようになってきました。そこに震災を契機とするBCP(事業継続計画)対策の盛り上がり、そして何よりもソニーグループへの攻撃なども情報セキュリティの今後に大きな影響があるものと思います。
最近、私が忙しくなった理由として、これらの混乱におけるセキュリティ対策の根本的な見直しがあります。これまで大企業はある程度対策が進んでいて、中小企業への対策の浸透が課題であるとされてきました。
しかし、ソニーグループに対する一連の攻撃で浮かび上がった課題は、グループ会社のセキュリティ対策の難しさと、発見することの難しさです。これまで一般的に取られてきた日本企業の対策の多くが、防ぐことを目的とされてきました。こちらのコラムでも書かせていただいたことがありますが、侵入されたことを検知するくらいなら、侵入されないようにしろ、対策したなら侵入されないはずだ、という建前論で済ませてきたのです。
その建前論では済まなくなってきたために「うちは大丈夫なのか?」というキーワードが多くの経営者の口から発せられるようになったのです。その影響で私も急に忙しくなってしまったのです。
大きなグループ企業における対策の見直しは、「パンドラの箱」を開けたような状態です。「ある程度はやってるはず」だった対策では、自分たちも国際的なハッカーグループに狙われたらひとたまりもないということが分かってしまったのです。あるいは、いまだにそれにも気付いていないグループ企業もたくさんあります。
また、これまで設置していたセキュリティ機器が、そのままでは役に立っていなかったことに気付くことにもなりました。統合ログシステムの運用の重要性はこのコラムでも書きましたが、ようやくその見直しの機運も高まってきました。計画や運用の伴わないログではいけない、ということに気付いたユーザーが出始めたのです。
標的型メールの攻撃に対しても対策は困難を極めます。見た目に怪しくないメールからウイルスに感染してしまうのですから訓練もしようがありません。さらに、主要なセキュリティ企業のパターンファイルでは検知できないものも珍しくなくなってきました。このような攻撃に対してはこれまでの常識的な対策では不十分です。感染することを前提にした対策の構築が必要であり、これまでの対策を根本的に見直す必要があるのです。
これまでの常識ではない新しい対策が求められており、そこでは運用が大きな鍵になると考えています。アプライアンスのような機器を買ってきただけでは対策としては不十分で、必ず継続的なチューニングが必要なのです。これも私が長く言い続けてきたことですが、ようやくお話を聞いていただけるユーザーさんとお会いする機会が増えてきました。
ようやく「本物のセキュリティ」が求められるようになってきたと感じています。一方でこれまでのレガシーなセキュリティ対策は変革を迫られているのも事実です。
新しく変化し続ける情報セキュリティビジネスに今後も関わり続けていきたいと思っています。
